저작권법 제125(손해배상의 청구) ① 저작재산권 그 밖에 이 법에 따라 보호되는 권리(저작인격권 및 실연자의 인격권을 제외한다)를 가진 자(이하 "저작재산권자등"이라 한다)가 고의 또는 과실로 권리를 침해한 자에 대하여 그 침해행위에 의하여 자기가 받은 손해의 배상을 청구하는 경우에 그 권리를 침해한 자가 그 침해행위에 의하여 이익을 받은 때에는 그 이익의 액을 저작재산권자등이 받은 손해의 액으로 추정한다. ② 저작재산권자등이 고의 또는 과실로 그 권리를 침해한 자에 대하여 그 침해행위에 의하여 자기가 받은 손해의 배상을 청구하는 경우에 그 권리의 행사로 통상 받을 수 있는 금액에 상당하는 액을 저작재산권자등이 받은 손해의 액으로 하여 그 손해배상을 청구할 수 있다. ③ 제2항의 규정에 불구하고 저작재산권자등이 받은 손해의 액이 제2항의 규정에 따른 금액을 초과하는 경우에는 그 초과액에 대하여도 손해배상을 청구할 수 있다. ④ 등록되어 있는 저작권, 배타적발행권(88조 및 제96조에 따라 준용되는 경우를 포함한다), 출판권, 저작인접권 또는 데이터베이스제작자의 권리를 침해한 자는 그 침해행위에 과실이 있는 것으로 추정한다.

 

125조의2 (법정손해배상의 청구) ① 저작재산권자등은 고의 또는 과실로 권리를 침해한 자에 대하여 사실심(사실심)의 변론이 종결되기 전에는 실제 손해액이나 제125조 또는 제126조에 따라 정하여지는 손해액을 갈음하여 침해된 각 저작물등마다 1천만원(영리를 목적으로 고의로 권리를 침해한 경우에는 5천만원) 이하의 범위에서 상당한 금액의 배상을 청구할 수 있다. ② 둘 이상의 저작물을 소재로 하는 편집저작물과 2차적저작물은 제1항을 적용하는 경우에는 하나의 저작물로 본다. ③ 저작재산권자등이 제1항에 따른 청구를 하기 위해서는 침해행위가 일어나기 전에 제53조부터 제55조까지의 규정(90조 및 제98조에 따라 준용되는 경우를 포함한다)에 따라 그 저작물등이 등록되어 있어야 한다. ④ 법원은 제1항의 청구가 있는 경우에 변론의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.

 

126(손해액의 인정) 법원은 손해가 발생한 사실은 인정되나 제125조의 규정에 따른 손해액을 산정하기 어려운 때에는 변론의 취지 및 증거조사의 결과를 참작하여 상당한 손해액을 인정할 수 있다.

 

129(공동저작물의 권리침해) 공동저작물의 각 저작자 또는 각 저작재산권자는 다른 저작자 또는 다른 저작재산권자의 동의 없이 제123조의 규정에 따른 청구를 할 수 있으며 그 저작재산권의 침해에 관하여 자신의 지분에 관한 제125조의 규정에 따른 손해배상의 청구를 할 수 있다.

 

129조의2 (정보의 제공) ① 법원은 저작권, 그 밖에 이 법에 따라 보호되는 권리의 침해에 관한 소송에서 당사자의 신청에 따라 증거를 수집하기 위하여 필요하다고 인정되는 경우에는 다른 당사자에 대하여 그가 보유하고 있거나 알고 있는 다음 각 호의 정보를 제공하도록 명할 수 있다.

1. 침해 행위나 불법복제물의 생산 및 유통에 관련된 자를 특정할 수 있는 정보

2. 불법복제물의 생산 및 유통 경로에 관한 정보

 

② 제1항에도 불구하고 다른 당사자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보의 제공을 거부할 수 있다.

2. 영업비밀(「부정경쟁방지 및 영업비밀 보호에 관한 법률」 제2조제2호의 영업비밀을 말한다. 이하 같다) 또는 사생활을 보호하기 위한 경우이거나 그 밖에 정보의 제공을 거부할 수 있는 정당한 사유가 있는 경우

④ 법원은 제2항제2호에 규정된 정당한 사유가 있는지를 판단하기 위하여 필요하다고 인정되는 경우에는 다른 당사자에게 정보를 제공하도록 요구할 수 있다. 이 경우 정당한 사유가 있는지를 판단하기 위하여 정보제공을 신청한 당사자 또는 그의 대리인의 의견을 특별히 들을 필요가 있는 경우 외에는 누구에게도 그 제공된 정보를 공개하여서는 아니 된다.

 

KASAN_저작권 침해 시 손해배상, 법정손해배상, 손해액 산정 특칙, 회계자료 제출명령 등 관련 저작권법 규정.p

 

 

 

작성일시 : 2019. 11. 25. 15:35
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

현행 상표법 제111(법정손해배상의 청구) [구법 제67조의2] ① 상표권자 또는 전용사용권자는 자기가 사용하고 있는 등록상표와 같거나 동일성이 있는 상표를 그 지정상품과 같거나 동일성이 있는 상품에 사용하여 자기의 상표권 또는 전용사용권을 고의나 과실로 침해한 자에 대하여 제109조에 따른 손해배상을 청구하는 대신 5천만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 법원은 변론전체의 취지와 증거조사의 결과를 고려하여 상당한 손해액을 인정할 수 있다. ② 제1항 전단에 해당하는 침해행위에 대하여 제109조에 따라 손해배상을 청구한 상표권자 또는 전용사용권자는 법원이 변론을 종결할 때까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.

 

대법원 2016. 9. 30. 선고 201459712 판결 요지

구 상표법(2014. 6. 11. 법률 제12751호로 개정되기 전의 것) 67조의2 1항은, ‘상표권자는 자기가 사용하고 있는 등록상표와 같거나 동일성이 있는 상표를 그 지정상품과 같거나 동일성이 있는 상품에 사용하여 자기의 상표권을 고의나 과실로 침해한 자에 대하여 손해액의 추정 등에 관한 제67조에 따른 손해배상을 청구하는 대신 5천만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있고, 이 경우 법원은 변론전체의 취지와 증거조사의 결과를 고려하여 상당한 손해액을 인정할 수 있다는 취지로 규정하고 있다.

 

이는 위조상표의 사용 등으로 인한 상표권 침해행위가 있을 경우에 손해 액수의 증명이 곤란하더라도 일정한 한도의 법정금액을 배상받을 수 있도록 함으로써 피해자가 쉽게 권리구제를 받을 수 있도록 하는 예외적 규정이므로, 그 적용요건은 법문에 규정된 대로 엄격하게 해석하여야 한다.

 

따라서 상표권자가 이 규정에 따른 손해배상을 청구하려면, (1) 상표권 침해 당시 등록상표를 상표권자가 실제 사용하고 있었어야 하고, (2) 침해자가 사용한 상표가 상표권자의 등록상표와 같거나 동일성이 있어야 하며, 동일성 요건을 갖추지 못한 경우에는 통상의 방법으로 손해를 증명하여 배상을 청구하여야지 위 규정에서 정한 법정손해배상을 청구할 수는 없고, 이러한 법리는 서비스표의 경우에도 동일하게 적용된다.

 

사용실적 없는 상표권자의 손해배상청구권 불인정 법정손해배상도 동일

상표권자(서비스표권자)가 등록된 상표(서비스표)를 사용하지 않은 경우 손해배상청구권 불인정, 구 상표법 제67조 제3항이나 제67조의2에 의한 손해배상청구도 인정되지 않는다는 대법원 판결입니다.

 

구 상표법(2014. 6. 11. 법률 제12751호로 개정되기 전의 것) 67조에 의하면, 상표권자는 자기의 상표권을 고의 또는 과실로 침해한 자에 대하여 통상 받을 수 있는 상표권 사용료 상당액을 손해액으로 주장하여 배상을 청구할 수 있다. 이 규정은 손해에 관한 피해자의 주장·증명책임을 경감해 주고자 하는 것이므로, 상표권자는 권리침해 사실과 통상 받을 수 있는 사용료를 주장·증명하면 되고 손해의 발생 사실을 구체적으로 주장·증명할 필요는 없다. 그러나 위 규정이 상표권의 침해 사실만으로 손해의 발생에 대한 법률상의 추정을 하거나 손해의 발생이 없는 것이 분명한 경우까지 손해배상의무를 인정하려는 취지는 아니므로, 침해자는 상표권자에게 손해의 발생이 있을 수 없다는 점을 주장·증명하여 손해배상책임을 면할 수 있다. 한편 상표권은 특허권 등과 달리 등록되어 있는 상표를 타인이 사용하였다는 것만으로 당연히 통상 받을 수 있는 상표권 사용료 상당액이 손해로 인정되는 것은 아니고, 상표권자가 상표를 영업 등에 실제 사용하고 있었음에도 상표권 침해행위가 있었다는 등 구체적 피해 발생이 전제되어야 인정될 수 있다. 따라서 상표권자가 상표를 등록만 해 두고 실제 사용하지는 않았다는 등 손해 발생을 부정할 수 있는 사정을 침해자가 증명한 경우에는 손해배상책임을 인정할 수 없고, 이러한 법리는 서비스표의 경우에도 동일하게 적용된다.

 

KASAN_짝퉁, 위조상표 사용행위 - 법정손해배상 규정 적용요건 대법원 2016. 9. 30. 선고 2014다59

 

 

 

 

작성일시 : 2019. 11. 25. 09:29
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

1. 홈플러스 응모권 형사사건 대법원 201613263 개인정보보호법위반 사건의 판결 요지 

 

법규정 및 기본 법리

개인정보 보호법은 개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위를 금지하고(59조 제1), 이를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(72조 제2).

 

이와 같은 개인정보 자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 거짓이나 그 밖의 부정한 수단이나 방법이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다.

 

그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.

 

개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법이라 한다) 24조의2에서 말하는 개인정보의 3자 제공은 본래의 개인정보 수집, 이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 처리위탁은 본래의 개인정보 수집, 이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리, 감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 3에 해당하지 않는다.

 

한편, 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리, 감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.

 

구체적 사안의 판단

피고인 홈플러스 주식회사(이하 홈플러스라고 한다)가 개인정보를 수집하여 판매할 목적으로 경품행사를 진행하면서 그와 같은 목적을 숨긴 채 고객들을 속이거나 고객들로 하여금 잘못 알게 할 우려가 있는 광고를 하면서 개인정보 수집 및 제3자 제공에 관한 내용은 응모권 뒷면이나 응모화면에 읽기 어려운 약 1mm 크기의 글씨로만 고지하였고, 또한 홈플러스가 그 고객들의 개인정보 데이터베이스를 보험회사에 제공하고, 보험회사가 그 중 자신과 이미 보험계약을 체결하였거나 자신의 블랙리스트에 올라 있는 고객을 걸러내면(이른바 사전필터링), 홈플러스가 필터링 되고 남은 고객들에게 전화를 걸어 위 보험회사에 개인정보를 제공하는 것에 동의하는지 여부를 확인하여 그에 동의한 고객들의 개인정보를 다시 보험회사에 제공한 사안에서, 피고인들은 개인정보 보호법 제72조 제2, 59조 제1호에 규정된 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자에 해당하고, 홈플러스가 사전필터링을 위해 보험회사에 개인정보를 제공하는 것 역시 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 3자 제공에 해당한다.

 

2. 홈플러스 응모권 행정사건 대법원 201661242 표시광고법 사건의 판결요지

 

관련 법규정 및 기본 법리

표시·광고의 공정화에 관한 법률(이하 ‘표시광고법’이라 한다) 3조 제1항 제2, 같은 법 시행령 제3조 제2항에 의하면, 기만적인 광고는 사실을 은폐하거나 축소하는 등의 방법으로 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 광고행위로서 공정한 거래질서를 해칠 우려가 있는 광고를 말한다.

 

한편 일반 소비자는 광고에서 직접적으로 표현된 문장, 단어, 디자인, 도안, 소리 또는 이들의 결합에 의하여 제시되는 표현뿐만 아니라 거기에서 간접적으로 암시하고 있는 사항, 관례적이고 통상적인 상황 등도 종합하여 전체적·궁극적 인상을 형성하므로, 광고가 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는지는 보통의 주의력을 가진 일반 소비자가 그 광고를 받아들이는 전체적·궁극적 인상을 기준으로 하여 객관적으로 판단하여야 한다(대법원 2013. 6. 14. 선고 201182 판결 등 참조).

 

그리고 표시광고법이 부당한 광고행위를 금지하는 목적은 소비자에게 바르고 유용한 정보의 제공을 촉진하여 소비자로 하여금 올바른 상품 또는 용역의 선택과 합리적인 구매결정을 할 수 있도록 함으로써 공정한 거래질서를 확립하고 소비자를 보호하는 데 있으므로, ‘기만적인 광고’에 해당하는지 여부는 광고 그 자체를 대상으로 판단하면 되고, 특별한 사정이 없는 한 광고가 이루어진 후 그와 관련된 상품이나 용역의 거래 과정에서 소비자가 알게 된 사정 등까지 고려하여야 하는 것은 아니다.

 

구체적 사안의 판단

‘원고 홈플러스와 원고 홈플러스스토어즈 주식회사가 12회에 걸쳐 개인정보 수집판매를 목적으로 경품행사를 진행하면서 그 광고에 개인정보 수집과 제3자 제공에 동의하여야만 경품행사에 응모할 수 있다는 내용을 기재하지 않은 것은, 중요한 거래조건을 은폐하여 소비자를 속이거나 소비자로 하여금 잘못 알게 함으로써 공정한 거래질서를 해칠 우려가 있는 것이므로 표시광고법 제3조 제1항 제2호에 정한 기만적인 광고에 해당하므로 원고들에게 과징금 합계 4 3,500만 원을 부과하고 유사 광고 행위를 금지한 피고 공정거래위원회의 시정명령 및 과징금 납부명령은 적법하다’라는 원심 판단을 정당하다고 판단하여 원고들의 상고를 기각함.

 

3. 개인정보 보호법의 징벌적 손해배상 규정과 법정손해배상 규정

 

1. 징벌적 손해배상제도 도입 - 개정 개인정보 보호법 제39조 제3항 및 제4항 신설

 

개인정보 처리자의 고의 또는 중과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 실제 발생한 손해를 초과하여 최대 그 실제 손해액의 3배까지 징벌적 손해배상을 부과할 수 있습니다(39조 제3항 본문).

 

징벌적 손해배상액(i) 개인정보처리자가 고의 또는 손해 발생의 우려를 인식한 정도 (ii) 정보주체가 입은 피해 규모 (iii) 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익 (iv) 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 등을 고려하여 결정합니다(39조 제4).

 

당연히 개인정보처리자가 고의 또는 중대한 과실이 없었음을 입증한 경우에는 손해배상책임이 없습니다(39조 제3항 단서).

 

2. 법정손해배상제도 도입 - 개정 개인정보 보호법 제39조의2 신설

 

실제 사건에서 구체적 손해액을 입증하는 것은 매우 어렵습니다. 개정법은 이와 같은 문제를 감안하여, 피해자가 구체적 손해액을 입증하지 못한 경우에도 최대 300만까지 법정 손해배상을 명할 수 있도록 하였습니다(39조의2 1항 제1). 다만, 개인정보처리자는 고의 또는 과실이 없었음을 입증하면 법정손해배상책임을 면하게 됩니다(39조의2 1항 제2).

 

3. 개인정보 처리자의 개인정보보호법 준수의무

 

2011 9월 개인정보보호법 개정으로 공공기관 이외의 민간을 포함한 모든 개인정보처리자까지 규율대상이 확장되었고, 컴퓨터 등에 의해 처리되는 개인정보파일 뿐만 아니라 종이문서에 기록된 개인정보로까지 보호범위가 확장되었습니다. 개정 전·후의 변경된 내용은 간략히 아래와 같습니다.

 

(출처: 개인정보 보호법의 이해, 행정안전부, 2012. 5.)

 

광고 대행사의 웹페이지 운영 사례

기업에서는 회사나 상품 또는 서비스를 알릴 목적으로 광고대행사 등을 활용하여 홈페이지를 운영하는 경우가 많습니다. 이러한 경우, 광고의 주체인 기업뿐만 아니라 홈페이지를 대행하여 운영하는 업체도 개인정보보호법의 규율 대상에 해당하는지 여부가 문제됩니다.

 

예를 들어, A 광고대행사가 B 제약회사의 전문 의약품을 처방하는 의사 및 이를 처방 받는 환자를 대상으로 회원제로 운영되는 웹사이트 운영·관리를 대행하는 경우 A 광고대행사가 개인정보보호법의 규율대상인지 여부 및 개인정보처리자에 해당할 경우 A 광고대행사가 준수해야 하는 의무를 살펴보겠습니다.

 

. 개인정보처리자

 

개인정보보호법에 따르면, 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 의미합니다(2조 제5).

 

또한, 개인정보보호법은 개인정보의 처리 업무를 위탁하는 개인정보처리자를 위탁자로, 개인정보 처리 업무를 위탁 받아 처리하는 자를 수탁자로 규정하고(동법 제26조 제2), 일부 개인정보처리자의 의무를 수탁자에 대해서도 준용하고(동법 동조 제7) 있습니다.

 

따라서, 위 사안의 경우 A 광고대행사는 홈페이지 회원가입 과정에서 환자의 주민번호 및 주소 등의 개인정보를 수집하므로 개인정보 처리 업무를 수탁하여 처리하는 자로서 위탁자인 B 제약회사와 함께 개인정보처리자에 해당합니다. A 광고대행사가 홈페이지 관리 업무를 제3자에게 위탁하여 운영하는 경우에도 개인정보 처리 업무 위탁자로서 개인정보처리자에 해당할 것입니다. 

 

. 개인정보처리자의 의무

 

개인정보처리자는 개인정보보호법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력해야 하며(동법 제3조 제8), 개인정보의 처리 및 안전한 관리와 관련된 규정들의 주체로서 관련 규정을 준수하여야 합니다(동법 제3, 4).

 

구체적으로 개인정보처리자는 개인정보를 수집, 이용 및 제공하기 위해서는 불가피한 경우를 제외하고는 정보주체의 동의를 받아야 하며(동법 제15조 제1), 개인정보는 필요 최소한으로 수집하여야 하며(동법 제16조 제1), 일부 예외적인 경우를 제외하고는 정보주체의 동의 없이는 개인정보를 제3자에게 제공할 수 없습니다(동법 제18조 제1). 특히, 개인정보 처리 업무를 위탁하는 경우에는 위탁자는 위탁하는 업무의 내용과 수탁자를 정보 주체가 언제든지 쉽게 확인할 수 있도록 공개하여야 합니다(동법 제26조 제2).

 

수탁자가 위탁 받은 업무와 관련하여 개인정보를 처리하는 과정에서 개인정보보호법을 위반하여 손해가 발생한 경우 수탁자는 개인정보처리자의 소속직원으로 간주되므로 위탁회사에게 손해배상책임이 있습니다(동법 제26조 제6). 그러나, 위탁자가 정보 주체에 대하여 손해배상책임을 이행하더라도 위탁자는 수탁자에 대하여 손해배상청구를 할 수 있으므로 A 광고대행사와 같은 수탁자도 결과적으로 손해배상책임을 지게 될 것입니다.   

 

개인정보법상의 의무를 위반하는 경우, 개인정보처리자는 5년 이하의 징역 또는 5천만원이하의 벌금(동법 제71~73) 또는 5천만원 이하의 과태료를 부과 받습니다(동법 제 75~76).

 

KASAN_개인정보 보호법 실무적 쟁점, 개인정보 처리자에 대한 징벌적 손해배상 제도 및 홈플러스 경품 응모권 사건

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2019. 4. 23. 08:41
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

n     비트코인 등 인터넷거래관련 개인정보유출 피해 속출

 

ICT의 발달과 4차 산업혁명 가속화에 따라, 전통적인 off-line 시장으로부터 전자상거래/통신판매 중심으로 급격한 변화를 보여 왔고, 결제방법에서도 인터넷결제, 모바일결제 비중이 급격히 늘고, 최근에는 전통적인 화폐 또는 재화를 대체할 비트코인 등 가상화폐가 새로운 투자 및 결제수단으로 등장하고 있으며, big data를 통한 비즈니스모델이 각광받고 있다. 이러한 새로운 상거래 방식과 이를 통해 수집된 개인정보를 활용한 비즈니스모델의 확산, 대중화에 따라 종전의 법제도상의 규제와 보호의 사각지대가 발생하여 이로 인한 피해가 속출하고 있어, 관련 입법의 보완/정비와 함께 예방/보호책이 절실히 요구되고 있다.

최근 보도에 따르면, 국내 최대 비트코인 거래소 '빗썸'이 사이버 공격으로 3만명 넘는 고객의 정보를 도난 당하는 사건이 발생했고, 유출된 일부 이용자의 개인정보 유출로 인해 보이스 피싱 또는 기타 사기범 등에게 가상화폐가 유출되는 2차 피해자가 발생하였음에도, 우리나라 법제상으로는 비트코인 등 가상화폐는 화폐나 재화로 인정받지 못하고 있는 관계로, 이들 가상화폐 거래소 등은 설립과정상 금융감독원 등 금융당국의 허가/신고 대상업체도 아니고, 관련 영업행위에 대한  조사, 제재 대상도 아닌, 통신판매업체에 불과하므로, 소비자들의 이런 피해발생에도 금융관련 법규상 보상/보호가  적용되지 않아, 이들 통신판매/온라인서비스 업체들의 자발적인 보상이 만족스럽지 못한 경우는, 피해자별로 피해사례에 따른 개별, 구체적인 소송에 따른 손해배상에 의존할 수 밖에 없을 것이다.

 

n     개인정보유출 피해관련 배상책임

 

이러한 피해의 1차적인 원인은 i) 해킹이나 ii) 서비스/판매 업체 직원의 과실로 인한, 관련정보에서 비롯된 바, 그 책임의 주된 근거는 정보통신망법, 신용정보보호법 및 개인정보보호법 등에 따른 개인정보 보호의무에 초점이 맞춰지게 될 것이고, 이에 대해 판례는, “정보통신 서비스 제공자는 사회통념상 합리적으로 기대가능한 기술수준으로 개인정보를 관리하였는가?”를 기준으로 구체적인 사안에 따른 과실 여부 및 배상책임을 결정하고 있으므로, ICT 기술과 온라인 거래에 익숙한 전문 변호사들과의 구체적인 상담을 통해 법적 조치를 강구하여야 할 것이다.   

최근 정보보호관련 법규개정안 시행에 따라, 개인정보 유출에 따른 피해자는 피해액의 최대 3배까지 보상이 가능한 징벌적 배상제도(2016 7)와 함께 피해자의 피해액 입증 없이도 300만원까지는 배상판결이 가능하도록 규정한 법정손해배상제도 (2014 11)의 적용으로 과거 10~20만원 수준의 실효성 없는 배상에서 벗어나 실질적인 피해보상이 가능한 높은 금액의 새로운 판례들이 속출할 것으로 예상된다 

 

39조 손해배상책임

정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게  손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

삭제<2015.7.24.>

개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경 우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015.7.24.>

법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.             <신설 2015.7.24.>

1. 고의 또는 손해 발생의 우려를 인식한 정도

2. 위반행위로 인하여 입은 피해 규모

3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익

4. 위반행위에 따른 벌금 및 과징금

5. 위반행위의 기간ㆍ횟수 등

6. 개인정보처리자의 재산상태

7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도

[시행일 : 2016.7.25.] 39조제3, 39조제4

39조의2  법정손해배상의 청구

39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.

39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.

[본조신설 2015.7.24.] [시행일 : 2016.7.25.] 39조의2

 

*정보통신서비스 제공자를 규제대상으로 하는 정보통신망법에서도 사실상 동일한 내용으로 손해배상책임 (징벌적손해배상 및 법정손해배상)을 규정하고 있음 [정보통신망법 제32조 및 32조의 2 참조]

 

특히, 신용정보법 또한 개인정보 유출시 관련 매출액의 3%까지 과징금을 부과할 수 있도록 대폭 강화되어, 이러한 개인정보를 취급하는 업체 입장에서는 향후 관리, 감독에 철저한 주의가 요구된다.

 

n     국제거래상 개인정보보호와 유럽연합의 GDPR(일반정보보호법) 준수의무

 

이러한 통신판매, 온라인, 사이버 거래로 인해 국가간 영역 파괴 현상은 더욱 가속화 되어, 국제상거래 비중 또한 높아지고 있어, 그 피해 또한 특정국가에 한정키 어려운 특수성에 따라, 국제거래에서의 risk management 차원에서 요구되는 컴플라이언스 중점영역으로 종전의 공정거래법 (Anti-trust Laws), 해외부패방지법 (Foreign Corrupt Practices Act)에 이어 개인정보보호법 (Data Protection/Security Laws) 준수가 요구되고 있다. 공정거래법 및 해외부패방지법에서와 마찬가지로, 국가간 영역을 넘나드는 통신/인터넷 판매 및 온라인 거래의 특성상, 이들 법규는 특정국내의 거래에 한정되지 않고 역외관할 (Extraterritorial Jurisdiction) 적용이 확산되고 있는 대표적인 영역이므로 해당업체의 설립지국 뿐만 아니라, 거래행위 및 영향이 미치는 지역의 관련 법규에 대한 준수도 간과하여서는 안될 것이다.   

이러한 관점에서 국제거래상 가장 유의를 요하는 대표적인 개인정보보호법규로, 유럽연합(EU)에서 제정되어 시행(2018 5 25)을 앞두고 있는 유럽 일반개인정보보호법(General Data Protection Regulation, GDPR)을 들 수 있을 것이다. 공정거래법규나 해외부패방지법의 경우, 미국의 법규와 기준이 국제거래에서의 선제적, 대표적 기준으로 작용해 왔다면, 개인정보보호법규의 경우는 미국의 구체적/통일적 기준이 아직 정립되지 않은 단계에서 유럽연합이 구체적인 기준과 함께 강화된 강행법규의 시행을 선언하고 있어, 향후 각국의 입법에 상당한 영향을 미칠 국제적인 기준으로 확산될 가능성이 높아지고 있다.

1995년부터 시행되었던 종전의 유럽 개인정보보호지침(Personal Data Protection Directive)Directive(지침) 성격상, EU회원국에 대한 입법지침으로서 구체적인 법적 방식과 수단 등은 각국에 위임되었던 반면, 이를 대체하기 위헤 제정된 EUGDPR  최상위 단계의 입법인 Regulation으로서 EU역내 모든 회원국에 직접적인 법적 효력을 미치는 강행법규로써, 유럽연합(EU) 회원국들간의 개인정보에 대한 관리기준을 통일성 있게 강화하기 위해 제정되었으며, 개인정보가 저장되거나 이전되는 위치 및 방법, 정보에 접근할 시 적용되는 정책 및 감사에 관한 철저한 관리감독을 요구하고 있어 관련 기업들에게 상당한 부담으로 작용할 것으로 예상됨은 물론, EU 집행위는 현재 EU 기업들은 유럽에서 활동 중인 역외기업들에 비해 매우 엄격한 기준을 준수하고 있다고 언급하며,  금번 개정으로 역외기업들 역시 EU 기업과 동일한 법이 적용돼 EU 기업들과 동등하게 경쟁할 수 있는 계기가 될 것이라 밝힌 바 있어 과거의 공정거래에서 보았던 것과 같은 비관세 장벽으로 작용할 소지도 있다.

EU 내 사업장이 있는 기업뿐만 아니라 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등 정보주체의 행동을 모니터링하는 기업에까지 전 세계적으로 확대 적용되어, 그 대상 기업들은 다음과 같은 조치와 책임을 부담하게 된다:

 

i)              개인정보 처리활동 기록 (records of processing activities),

ii)            개인정보보호를 위한 기술적, 조직적 조치 (data protection by design and by default)

iii)           개인정보 영향평가 실시 (data protection impact assessment),

iv)           DPO(Data Protection Officer) 지정,

v)            행동강령 및 인증제도 (codes of conduct and certification mechanism)

vi)           개인정보 침해발생 시 침해 인지 후 72시간 이내에 감독기구 통보 및 정보주체에게도 지체없이 통보,

vii)          EU 시민의 개인정보는 GDPR의 규정에 부합할 경우(적정성 결정에 따른 이전, 적절한 보호조치에 의한 이전, 구속력 있는 기업규칙 등) EU 역외  이전.

 

우리나라의 경우, 2017년 하반기까지 EU 승인을 받는 것을 목표로, 현재 EU로부터 개인정보체계를 인정받기 위해 행정자치부를 중심으로 정부 차원의 협의가 이루어지고 있으며, EU의 적합성 평가를 통과해 인정되는 경우, 별도의 추가절차 없이 개인정보의 역외이동이 가능해지게 되나, 그러지 못하게 되는 경우는 개별 관련기업벌로 이전 적합성 평가/인정을 받아야 하는 부담을 안게 된다.

GDPR 위반시는 최대 2천만 유로( 245억원) 또는 전 세계 연간 매출액의 4% 중 높은 금액으로 과징금을 부과 받게 되므로, 우리나라의 관련 기업들도 내년 시행될 GDPR 법규 숙지 및 사내 컴플라이언스 규정 점검/보완을 통한 준수 및 위반 예방활동에 만전을 기해야 할 것이다.

GDPR 관련 컴플라이언스 점검차원에서 아래 자료를 적극 참조하시길 권장한다.

 

[참조 1]  우리 기업을 위한 「유럽 일반 개인정보 보호법」 안내서 (행정자치부/한국인터넷진흥원)

https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000828490&fileSn=0&nttId=7875&toolVer=&toolCntKey_1=

 

[참조 2]  EU GDPR 공식 포털

http://www.eugdpr.org/eugdpr.org.html

 

20170508_-_우리_기업을_위한_GDPR_안내서(최종)v2.pdf

 

이용태 미국변호사

 

 

 

 

 

작성일시 : 2017. 7. 12. 16:00
Trackback 0 : Comment 0

댓글을 달아 주세요